Nowe podejście do ochrony danych osobowych
Zapewne wszyscy z Państwa słyszeli o rozporządzeniu RODO. Każdy jest też w stanie powiedzieć czego dotyczy to rozporządzenie. Dokładnie jest to rozporządzenie, które w swym założeniu ma za zadanie wzmocnić ochronę podstawowych praw obywateli w cyfrowym świecie. Z drugiej strony RODO ma ułatwić firmom i organizacjom działania na wspólnym rynku (Rozporządzenie to gwarantuje jednolitą ochronę danych osobowych na terenie całej Unii Europejskiej). Samo rozporządzenie RODO ma zastosowanie od 25 maja 2018 r. RODO wprowadza jednak znacznie więcej, wprowadza między innymi nowe podejście do ochrony danych osobowych takie jak np. minimalizacja danych zaznacza Paweł Kraśniej z Kancelarii Adwokackiej Praga Północ.
Czym jest zatem minimalizacja danych w myśl rozporządzenia RODO?
Jest to wymóg prawny, który zgodnie z art. 5 ust. 1 pkt c RODO:
adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”)
Sama zasada minimalizacji danych jest wymieniona wśród innych zasad przetwarzania danych takich jak ograniczenie celu czy prawidłowość. Można powiedzieć, że nierozerwalnie wiąże się z celami, w których dane osobowe mają być przetwarzane. Rozporządzenie RODO wymaga zatem, aby każdy podmiot zbierający i przetwarzający zebrane dane, gromadził i wykorzystywał wyłącznie te dane, które są rzeczywiście zgodne z zasadą realizacji celu. Innymi słowy, administrator danych osobowych ma obowiązek gromadzić tylko te dane, które są niezbędne dla określonego celu przetwarzania.
Minimalizacja danych – jak powinno to wyglądać w praktyce?
Dla lepszego zobrazowania tego artykułu i jego zasad posłużę się przykładami.
Jeżeli klient dokonuje zakupów w sklepie stacjonarnym i płaci za zakupy gotówką, to sklep do zawarcia umowy sprzedaży nie potrzebuje danych osobowych od klienta. W tym przypadku dane nie powinny być zbierane. W momencie, gdy ten sam klient będzie składał reklamację wówczas do rozpatrzenia reklamacji klienta niezbędne będą dane osobowe takie jak imię, nazwisko czy numer telefonu do kontaktu. Zgodnie z zasadą minimalizacji danych sklep nie może zbierać danych, które nie będą związane z rozpatrzeniem reklamacji jak np. wykształcenie klienta, czy miejsce zatrudnienia. Tego typu dane są niepotrzebne w procesie reklamacyjnym.
Innym przykładem jest strona internetowa, która udostępnia darmowy materiał, który zostanie wysłany na maila po podaniu danych osobowych w tym maila. Do realizacji tej usługi czyli realizacji naszego celu jedynie adres e-mail jest niezbędny. Wszystkie inne dane zebrane w ten sposób są zbierane sprzecznie z zasadą minimalizacji danych. Przecież adres e-mail w zupełności wystarczy do realizacji usługi wysyłki.
Ostatnim przykładem jest sklep internetowy, który pozawala na złożenie zamówienia bez rejestracji. Klient w momencie składania takiego zamówienia ma możliwość odbioru zamówionego towaru w sklepie. Sklep w myśl zasady minimalizacji danych nie powinien wówczas prosić o podanie adresu, na który mógłby zrealizować wysyłkę, gdyż adres klienta nie jest potrzebny do realizacji celu jakim jest odbiór zakupionego towaru w sklepie sprzedawcy.
Minimalizacja danych to również różnicowanie dostępu do danych
W mojej ocenie, zasadę minimalizacji danych należy rozumieć szeroko. Dlatego też tyczy się to również danych znajdujących się w naszych zbiorach danych. Jeżeli na danych pracują pracownicy, należy tak nadać im uprawnia, aby przy ich dalszym wykorzystywaniu ta zasada również była spełniona.
Dodaj komentarz